🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois

19 mai 2022 à 17h12
16
windows 11 hack piratage #disc

Exploiter des failles de sécurité zero day sur Windows 11, Microsoft Teams et d'autres pour l'argent et pour la gloire, tel est le défi que se sont lancé des experts en cybersécurité lors d'un concours de piratage.

Du 18 au 20 mai 2022, se tient la Pwn2Own Vancouver 2022, une compétition de piratage organisée par l'organisation Zero Day Initiative. Et de grands noms sont tombés sous les tentatives de hack des experts.

Microsoft Teams et Windows 11 tombent à plusieurs reprises

Dans la catégorie des logiciels de communication pour professionnels, c'est Microsoft Teams qui est tombé le premier. Hector « p3rr0 » Peralta est parvenu à exploiter une faille de sécurité prenant la forme d'un défaut de configuration, qui requiert de lancer la calculatrice de Windows pour être capable d'en tirer profit.

Piratage Microsoft Teams © Zero Day Initiative
© Zero Day Initiative

Mais Microsoft Teams n'était pas au bout de ses peines puisque deux autres vulnérabilités ont aussi pu être exploitées lors de la première journée de l'événement. Masato Kinugawa a eu recours à une chaîne de trois failles de sécurité relatives à la sandbox, à l'injection de code et à un défaut de configuration pour arriver à ses fins.

L'équipe STAR Labs, composée de Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan et Nguyễn Hoàng Thạch, a quant à elle pu démontrer deux vulnérabilités liées à l'injection et à l'écriture de fichier arbitraire.

La Tesla Model 3 bientôt piratée ?

Ces trois acteurs ont remporté 150 000 dollars de récompense pour avoir attesté avec succès de la présence de ces failles de sécurité au sein de Microsoft Teams.

Windows 11 a aussi droit à son lot de vulnérabilités zero-day. Plusieurs équipes ont réussi à pointer des failles dans le système d'exploitation. STAR Labs a notamment mis la main sur 40 000 dollars supplémentaires pour avoir révélé une vulnérabilité de type Use-After-Free (UAF) permettant une élévation de privilèges sur le système.

Ubuntu Desktop, Mozilla Firefox et Oracle Virtualbox ont également été piratés avec succès. Lors de la seconde journée de ce Pwn2Own Vancouver 2022, les concurrents tenteront d'exploiter de nouvelles failles zero-day sur Windows 11 et Ubuntu Desktop, ainsi que sur le système d'infodivertissement de la Tesla Model 3.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
16
8
stratos
comme quoi permettre l’installation de win 11 sur les « vieux PC » aurait rien changer, la soit disante securité qui contraint a certain CPU.<br /> Bref j’ai win 11 ca marche, mais manque pas mal de chose par rapport a WIN 10 en terme ergonomie
ultrabill
stratos:<br /> comme quoi permettre l’installation de win 11 sur les « vieux PC » aurait rien changer, la soit disante securité qui contraint a certain CPU.<br /> S’agissant d’une faille qui touche l’allocation mémoire, ça n’a pas trop de rapport.
iroteph
Ce qu’il veut dire c’est que la sécurité n’est pas meilleure sur w11, du coup écarter un trop grand nombre de composants compatibles avec w11 n’est pas pertinant…
ChoucrouteGarnie
L’éternel combat entre le sabre et la cuirasse… Les éditeurs de logiciels comblent des failles, les hackers en découvrent d’autres, etc…<br /> Il est difficile, voire impossible, de rendre sûr à 100% un programme ou système d’exploitation dont le code comprend des millions de lignes, d’autant que le programme en question doit aussi interagir avec d’autres, avec lesquels parfois il partage des bibliothèques dynamiques.<br /> J’ai aussi Windows 11 (Pro) sur un de mes PC, et malgré l’ergonomie pas très aboutie, je trouve l’OS plutôt agréable à utiliser. Pour autant, je me méfie des promesses de Microsoft qui affirme que 11 est plus sûr que 10, etc…<br /> Comme toujours, la première source de failles de sécurité se trouve entre la chaise et l’écran…
MattS32
iroteph:<br /> Ce qu’il veut dire c’est que la sécurité n’est pas meilleure sur w11<br /> L’existence de failles n’est pas une condition suffisante pour conclure que la sécurité n’est pas meilleure.
ultrabill
T’es en train de dire qu’une ceinture de sécurité ne sert à rien parce qu’elle n’empêche pas de conduire en état d’ivresse.
stratos
ce que je voulais dire, c’est que par un choix de soi-disant augmenter la sécurité on empêche pas mal de materiel qui marchent encore très bien d’avoir win 11 et les mise à jour de sécurités.<br /> Alors que des failles il y en a un peu partout, là c’est l’allocation mémoire, plutard ça sera par autres choses etc…<br /> Au final les PC qui ont tout ce qu’il faut tant mieux et les autres tant pis, on fait comme avant télécharge pas n’importe quoi, donne pas son PC à tout le monde,…<br /> C’est jusque que l’argumentaire d’un PC encore plus sécurisé donc oblige un PC tres récent, est inutile car des failles il y en a comme linus, OSX,…<br /> Bref je préférais avoir le drag and drop dans la barre des taches, pas une micro barre qui montre l’avancement d’une copie de fichier là ou win 10 c’était bien lisible avec la jauge verte, quand on rentre sur le menu click droit de pas avoir la liste en tout petit et galère à cliquer…
MattS32
stratos:<br /> C’est jusque que l’argumentaire d’un PC encore plus sécurisé donc oblige un PC tres récent, est inutile car des failles il y en a comme linus, OSX,…<br /> Encore une fois, c’est pas parce qu’il reste des failles que les sécurités supplémentaires sont inutiles.<br /> Comme le dit @ultrabill juste au-dessus, c’est pas parce que la ceinture de sécurité ne sauve pas tout le monde qu’on doit considérer qu’elle est inutile…<br /> Et quand on implémente l’utilisation de nouveaux dispositifs de sécurité, garder en parallèle une implémentation ne les utilisant pas, ça ça augment le risque de failles… Donc exploiter les dernières fonctionnalités de sécurité matérielles tout en gardant la possibilité de s’en passer, ce n’est pas complètement anodin, et ce ne sont pas que ceux qui ont du vieux matériel qui se retrouvent plus exposés, mais aussi ceux qui ont du matériel récent.
iroteph
Ce n’est pas ce que je dis, microsoft abandonne de nombreux composants sous prétexte de sécurité insuffisante, alors que ce n’est pas le cas, les nouvelles plateforme sont sujettes aux même soucis, d’ailleurs les dispositifs mis en avant sur w11 sont aussi présent sur w10, preuve que c’est de la mauvaise volonté ou complaisance, c’est selon ce que vous voulez comprendre.
ultrabill
Bah si, la restriction côté CPU apporte plus de sécurité mais sur un autre sujet que l’allocation mémoire. Un peu comme un détecteur de fumée et une barrière de piscine : c’est sécurisant mais ça ne s’occupe pas du même problème.
iroteph
Les alder lake sont aussi sensibles aux failles spectre de nouvelle génération, donc la restriction n’est pas pertinente pour la sécurité…qu’il y ai des avantages de gestions d’os grâce aux coeurs efficients moins énergivore qui peuvent s’occuper des tâches de fond pour laisser les coeurs puissants sur des charges plus lourdes ok, ce sont des fonctions nouvelles que l’os doit gérer, mais c’est spécifique à intel, il n’y a pas d’équivalent chez amd, pourtant toucher par le même principe, alors que ce dernier utilise la même plateforme depuis le début des ryzen contrairement à son concurrent, c’est donc une marche forcée vers le consumérisme déguisé, qui peut le plus peu le moins…
ultrabill
Bah si, la restriction s’appuie sur les capacités de virtualisation. Rien à voir avec Spectre, ou l’efficience, ou l’allocation mémoire.
iroteph
tu ne piges toujours pas<br /> Le Comptoir du Hardware – 10 Mar 22<br /> Alder Lake n'est pas épargné d'une nouvelle faille spectre : BHI<br /> Arm est également concerné... mais pas AMD. Une bénédiction pour les rouges !<br /> ZDNet France<br /> Pourquoi Windows 11 est chaotique, et comment copier Apple aurait pu...<br /> Cinq ans, c'est long dans la technologie. Voici comment Microsoft tente de faire face à ce théorème un tantinet bancal. Et voici aussi comment fait Apple face à la même règle.<br /> encore une fois le secure boot n’est pas plus securiser puisqu’il est possible de le contourner pour les hackers, la sandbox une vaste blague puisque nombre d’av n’utilise pas se module puisqu’il est possiible de corompre le noyau donc basée sur de mauvaises dèfinitions, ect…le zéro défaut n’existe pas peu importe le niveau requis aujourd’hui, demain il sera dépassé, un peu comme nvidia avec le lhr v3.0 qui à été déboité il y a peu, c’est pas en imposant une pseudo sécurité qui n’engage que celui qui la croit inviolable que l’on rend le monde plus sûr, mais en laissant le choix aux gens tout en mettant à disposition les outils nècessaires, pas en mettant le feu à la barraque…<br /> Sur ce bon week end
Muggsy68
Tu es du genre à continuer de rouler à 50 là où il y a des panneaux 30 car « tu es un pilote » alors que si tout le monde utilisait correctement son cerveau il n’y aurait pas eu besoin de rajouter un panneau 30, un dos-d’âne, un feu d’allumant rouge des que tu roules à 31 etc.<br /> Ben la limitation matériel c’est pareil, limiter un max les risques. Sauf que tant que les voitures ne rouleront pas toute seule ou ne feront pas respecter d’elles mêmes les limitations, il faut faire le job.
ultrabill
Tu mélanges tellement de trucs…
Voir tous les messages sur le forum

Lectures liées

Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Google alerte sur un nouveau logiciel espion, votre smartphone est-il infecté ?
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Pendant les soldes, profitez d'un prix fou sur le VPN de CyberGhost
Le chiffrement du Cloud MEGA mis à mal par des chercheurs
Le spyware Pegasus a été utilisé dans au moins 5 pays de l'UE
Pour les soldes d'été, NordVPN baisse le prix de son VPN, mais pas que !
Le malware Android BRATA devient plus puissant : il peut maintenant lire vos SMS !
Haut de page